Self-XSS ( самостоятельный межсайтовый скриптинг ) - это атака социальной инженерии, используемая для получения контроля над веб-аккаунтами жертв. При атаке Self-XSS жертва атаки по незнанию запускает вредоносный код в своем собственном веб-браузере, таким образом раскрывая злоумышленнику личную информацию, что является своего рода уязвимостью, известной как межсайтовый скриптинг . [1]
Обзор [ править ]
Self-XSS работает, обманывая пользователей, заставляя их копировать и вставлять вредоносный контент в консоль веб-разработчика своих браузеров . [1] Обычно злоумышленник публикует сообщение, в котором говорится, что, скопировав и запустив определенный код, пользователь сможет взломать учетную запись другого пользователя. Фактически, код позволяет злоумышленнику захватить учетную запись жертвы. [2]
История и смягчение последствий [ править ]
В прошлом имела место очень похожая атака, при которой пользователей обманом заставляли вставлять вредоносный код JavaScript в свою адресную строку. Когда поставщики браузеров остановили это, предотвратив простой запуск JavaScript из адресной строки, [3] [4] злоумышленники начали использовать Self-XSS в его текущей форме. Поставщики веб-браузеров и веб-сайты предприняли шаги для смягчения этой атаки. Firefox [5] и Google Chrome [6] начали внедрять меры безопасности, чтобы предупреждать пользователей об атаках Self-XSS. Facebook и другие пользователи теперь отображают предупреждающее сообщение, когда пользователи открывают консоль веб-разработчика, и ссылаются на страницы с подробным описанием атаки. [7] [8]
Этимология [ править ]
«Я» часть имени происходит от того факта, что пользователь атакует самого себя. Часть имени «XSS» происходит от аббревиатуры межсайтового скриптинга , потому что обе атаки приводят к запуску вредоносного кода на легитимном сайте. Однако у этих атак нет ничего общего, потому что XSS - это атака против самого веб-сайта (от которой пользователи не могут защитить себя, но могут быть исправлены оператором сайта, сделав свой сайт более безопасным), тогда как Self-XSS - это атака. атака социальной инженерии на пользователя (от которой опытные пользователи могут защитить себя, но оператор сайта ничего не может с этим поделать). [9]
Ссылки [ править ]
- ^ a b Шарр, Джилл (28 июля 2014 г.). «Мошенничество в Facebook заставляет пользователей взламывать самих себя» . Руководство Тома США . Purch . Проверено 27 сентября 2014 года .
- ^ «Угрозы безопасности социальных сетей» . Sophos . nd . Проверено 27 сентября 2014 года .
- ^ «Ошибка 656433 - Запрещает URL-адресам javascript: и data:, введенным в адресную строку, наследовать принципал текущей загруженной страницы» . Bugzilla . Mozilla Foundation. 11 мая 2011 . Проверено 28 сентября 2014 года .
- ^ «Проблема 82181: [Linux] Удаление схемы javascript: из вставки / удаления в омнибокс» . Код Google . Google . 10 мая 2011 . Проверено 28 сентября 2014 года .
- ^ «Ошибка 994134 - Предупреждать начинающих пользователей о вставке кода в консоль» . Bugzilla . Mozilla Foundation. 9 апреля 2014 . Проверено 28 сентября 2014 года .
- ^ «Проблема 345205: DevTools: Combat Self-XSS» . Код Google . Google . 10 мая 2011 . Проверено 28 сентября 2014 года .
- ^ "Как выглядит мошенничество Self-XSS?" . Справка Facebook . Facebook . 11 июля 2014 . Проверено 27 сентября 2014 года .
- ^ "Что такое Self-XSS?" . Справка Facebook . Facebook . 15 июля 2014 . Проверено 27 сентября 2014 года .
- ^ Илашку, Йонут (28 июля 2014). «Хакеры обманывают пользователей Facebook в мошенничестве с самопроизвольным межсайтовым скриптингом (XSS)» . Софтпедия . SoftNews NET SRL . Проверено 27 сентября 2014 года .
Дальнейшее чтение [ править ]
- Маккейни, Кевин (16 ноября 2011 г.). «4 способа избежать эксплойта в спам-атаке Facebook» . GCN . 1105 Медиа Группа государственного сектора . Проверено 28 сентября 2014 года .